Back to Blog
4 min read
ransomwarerampintelligence

Da ascensão à queda, RAMP: O fim do maior forum de Ransomware da história.

O que era o porto seguro para grupos de ransomware se tornou uma armadilha. Após ser apreendido pelo FBI, os dados do forum RAMP agora estão nas mãos de empresas de inteligência que buscam desmascarar criminosos.

By Murilo Hoffmann from VerXus Team

Read the English version

O cibercrime sofreu um golpe duplo nas últimas semanas. Primeiro, no dia 28 de janeiro de 2026, o domínio ramp4u.io e seus endereços na rede Tor foram oficialmente apreendidos pelo FBI. Agora, a empresa de segurança e inteligência PRODAFT revelou possuir o banco de dados da plataforma, iniciando uma campanha direta para recrutar informantes entre os ex-membros.

O surgimento de um refúgio para o Ransomware

O RAMP (Russian Anonymous Marketplace) surgiu em julho de 2021, em um momento de crise para os cibercriminosos. Após o ataque da gangue REvil contra a Colonial Pipeline, grandes foruns como XSS e Exploit proibiram discussões sobre ransomware para evitar a atenção de agências governamentais.

Foi nesse vácuo que o RAMP nasceu, apresentando-se como o "único lugar onde o ransomware é permitido". Operado inicialmente por figuras ligadas ao extinto grupo Babuk, como o ator de ameaça conhecido como "Wazawaka", o forum se tornou o hub principal para:

  • Recrutamento de afiliados: Grupos como LockBit, ALPHV e outros serviços de Ransomware-as-a-Service (RaaS) usavam o espaço para buscar novos membros.

  • Venda de acessos: Initial Access Brokers (IABs) leiloavam entradas em redes corporativas para operações de Ransomware.

  • Vazamento de dados: O forum era frequentemente usado para listar empresas vítimas que se recusavam a pagar resgates.

  • Escrow de confiança: O site garantia que transações de milhares de dólares em criptoativos fossem cumpridas entre os criminosos, através de um sistema de negociação rigoroso.

O "Dia D" do RAMP: Operação Internacional

No dia 28 de janeiro de 2026, quem tentava aceder ao domínio ramp4u.io deparou-se com uma imagem que é o pesadelo de qualquer cibercriminoso: o banner oficial de apreensão coordenado pelo FBI, em parceria com a NCA (Reino Unido), a Gendarmerie (França) e outras agências europeias.

O "takedown" não foi apenas técnico, mas também psicológico. As autoridades utilizaram uma imagem da personagem russa Masha (de Masha e o Urso) a piscar o olho, uma provocação direta aos administradores russos do forum, sinalizando que a sua infraestrutura "impenetrável" tinha sido comprometida.

Banner de apreensão do RAMP pelo FBI
Banner de apreensão do RAMP pelo FBI

PRODAFT e a Iniciativa SYS: "Ainda existe algo de bom em você"

A apreensão do domínio pelo FBI foi apenas metade do problema para os criminosos. A PRODAFT, uma empresa de Inteligência de Ameaças suíça, revelou que, através da sua iniciativa SYS, conseguiu processar a base de dados do forum para mapear as TTPs (Táticas, Técnicas e Procedimentos) e as conexões entre os atores que frequentemente utilizavam o forum.

A empresa tomou a medida audaciosa de enviar e-mails diretamente para os endereços registados no RAMP, com a seguinte mensagem:

"Dear ex-RAMP member,

You are receiving this email because we believe there is still some good left in many members of this forum, and now is the moment to choose a better path for yourself.

As you may be aware, PRODAFT has begun processing the RAMP forum database to better understand criminal actors, their TTPs, and their connections. This effort is part of our SYS initiative, which has already produced successful results in past operations.

We have publicly posted the RAMP update on our X account. We are not including links in this email to avoid unnecessary attention, but make sure you follow/like as usual.

You can assist us by helping with the de-anonymization of some of the most active cybercriminals and ransomware operators. Others have already chosen to support us by providing information that has proven both actionable and timely. If you maintain accounts on other forums, you may also reach out to us, as we are actively interested in those as well.

We maintain a TOX chat to securely receive tips in any language: D0E5B14B166D8440E3F54CDFC0F38E5080645F728F02AADFB7B978F9D579EE5A6D38A29DD307

You can also send an e-mail to: tips@prodaft.com

You are smart enough to do the right thing.

Regards, PRODAFT"

O tom da mensagem é quase paternalista, mas carrega uma ameaça implícita: de que o anonimato acabou. A empresa afirma acreditar que "ainda existe algo de bom em muitos membros" e oferece canais seguros, como um endereço identificador TOX, para quem estiver disposto a colaborar com informações sobre os "peixes grandes" da cena de ransomware. A mensagem também cita uma postagem no X, Antigo Twitter, onde eles reforçam o acesso às informações do forum. Segue abaixo uma imagem da publicação traduzida.

Publicação da PRODAFT no X
Publicação da PRODAFT no X

O que isso muda no cenário de segurança?

A queda do RAMP e a subsequente análise de dados por empresas de inteligência como a PRODAFT marcam uma "virada de chave". Se antes os criminosos se sentiam seguros atrás de domínios .onion, provedores "BulletProof" e regras rígidas de admissão, agora enfrentam uma "pinça" entre a lei e a inteligência privada.

Referências: